본문으로 건너뛰기
← 뉴스 목록으로
CRITICAL취약점

AI 핵티비스트의 SCADA 공격60개 그룹, 4만개 산업제어시스템을 노리다

6분 읽기
#SCADA#ICS#핵티비즘#이란#AI#산업제어시스템#DDoS

무슨 일이 일어났나

2026년 2월 28일 미국-이스라엘 합동의 이란 공습이 시작된 지 수 시간 만에, 60개 이상의 핵티비스트 그룹이 텔레그램을 통해 일제히 활성화되었습니다. 이들의 표적은 전 세계 인터넷에 노출된 **4만 개 이상의 산업제어시스템(ICS/SCADA)**입니다.

Unit 42, CloudSEK, Intel471, Rescana, SOCRadar 등 주요 위협 인텔리전스 기관의 분석에 따르면, 2월 28일부터 3월 2일까지 불과 3일간 149건의 DDoS 공격이 발생했고, 16개국 110개 조직이 피해를 입었습니다. 에너지, 공항, 금융, 정부 네트워크가 주요 표적이었습니다.

특히 주목할 점은 FAD Team이라는 그룹입니다. 이 그룹은 단순한 DDoS를 넘어 이스라엘의 SCADA/PLC 시스템에 무단 접근한 뒤 와이퍼 악성코드를 배포했습니다. 와이퍼는 데이터를 복구 불가능하게 삭제하는 악성코드로, 산업시설에 물리적 피해를 일으킬 수 있습니다.

| 항목 | 수치 | |------|------| | 활성화된 핵티비스트 그룹 | 60+ | | 인터넷 노출 ICS/SCADA | 40,000+ | | 3일간 DDoS 공격 건수 | 149건 | | 피해 국가 수 | 16개국 | | 피해 조직 수 | 110개 |

AI가 바꾼 핵티비즘

과거의 핵티비스트는 웹사이트를 일시적으로 마비시키는 수준이었습니다. 하지만 이번 사건에서는 AI 어시스턴트가 게임 체인저 역할을 했습니다.

AI가 활용된 영역은 크게 세 가지입니다.

  1. 스피어피싱 자동화: AI가 표적 조직의 직원 정보를 수집해 맞춤형 피싱 메일을 대량 생성합니다. 기존에는 몇 통 보내기도 어려웠던 고품질 피싱을 수백, 수천 통 단위로 발송할 수 있게 되었습니다.

  2. 취약점 익스플로잇: AI 도구가 인터넷에 노출된 SCADA 시스템을 자동으로 스캔하고, 알려진 취약점에 대한 익스플로잇 코드를 생성합니다. 기술 수준이 낮은 핵티비스트도 산업제어시스템을 공격할 수 있게 된 것입니다.

  3. 은밀한 인프라 구축: 공격 명령을 전달하는 C2(Command & Control) 서버, 프록시 체인, 익명화 네트워크를 AI가 자동으로 설정합니다. 추적을 피하면서 대규모 공격을 조율하는 것이 훨씬 쉬워졌습니다.

CloudSEK의 분석에 따르면, AI 어시스턴트의 도움으로 공격 준비 시간이 기존 대비 70% 이상 단축되었습니다. 지정학적 사건 발생 후 수 시간 내에 대규모 공격이 시작된 것은 이 때문입니다.

SCADA 공격의 실제 위험

SCADA 시스템은 발전소, 수처리 시설, 가스 파이프라인, 교통 신호, 공장 설비를 제어합니다. 이 시스템이 공격당하면 단순한 데이터 유출이 아니라 물리적 피해로 이어집니다.

FAD Team의 공격 사례를 보면, 이스라엘 내 SCADA 시스템의 PLC(프로그래머블 로직 컨트롤러)에 접근한 뒤 와이퍼를 실행했습니다. PLC는 산업 장비의 동작을 직접 제어하는 장치입니다. 여기에 와이퍼가 실행되면 장비가 오작동하거나 완전히 멈출 수 있습니다.

왜 4만 개나 노출되어 있을까요?

많은 산업시설이 원격 모니터링과 유지보수의 편의를 위해 SCADA 시스템을 인터넷에 연결합니다. 문제는 이 시스템들이 대부분 기본 비밀번호를 그대로 사용하거나, **오래된 프로토콜(Modbus, DNP3)**로 통신하며, 보안 업데이트가 수년째 적용되지 않은 상태라는 점입니다.

Rescana의 보고서에 따르면, 인터넷에 노출된 ICS 중 약 30%가 기본 자격증명을 변경하지 않은 것으로 추정됩니다.

산업시설 보안 대응법

산업시설 운영자와 보안 담당자가 즉시 실행해야 할 조치입니다.

  1. ICS/SCADA 인터넷 분리: 산업제어시스템을 인터넷에서 물리적으로 분리합니다. 원격 접근이 필요하면 VPN + 다중인증(MFA)을 적용합니다.

  2. 기본 자격증명 즉시 변경: 모든 SCADA/PLC/HMI 장비의 기본 비밀번호를 강력한 비밀번호로 변경합니다. 제조사 출고 시 설정된 admin/admin, root/root 등이 그대로인 경우가 많습니다.

  3. 네트워크 세그멘테이션: OT(운영 기술) 네트워크와 IT 네트워크를 분리하고, 방화벽 규칙으로 불필요한 통신을 차단합니다.

  4. 산업 프로토콜 모니터링: Modbus, DNP3, OPC UA 등 산업 프로토콜의 비정상 트래픽을 실시간 감시합니다. 평소와 다른 명령어 패턴이 감지되면 즉시 대응합니다.

  5. CISA/KISA 권고 적용: 미국 CISA와 한국 KISA가 발행하는 ICS 보안 권고문을 정기적으로 확인하고, 해당되는 패치를 적용합니다.

  6. 사고 대응 계획 수립: SCADA 시스템이 공격당했을 때의 수동 운전 전환 절차를 마련하고 정기적으로 훈련합니다.

참고 자료

  • Unit 42, "Hacktivism in the Wake of Iran Strikes" (2026)
  • CloudSEK, "AI-Assisted Hacktivist Operations Targeting ICS" (2026)
  • Intel471, "Hacktivist Threat Landscape Q1 2026" (2026)
  • SOCRadar, "60+ Hacktivist Groups Target Critical Infrastructure" (2026)
공유

보안 뉴스 알림 받기

새로운 보안 뉴스를 이메일로 전달합니다.